Offentlige myndigheders brug af cloudservices er i de seneste år steget markant. Cloudløsninger har mange fordele, da de bl.a. bidrager til hurtigere it-udvikling, mere effektiv skalering og et højt sikkerhedsniveau. Offentlige myndigheder bør dog kun anvende cloudservices i det omfang, det er foreneligt med databeskyttelsesreglerne, særligt i relation til overførelser til tredjelande. Vi ser på, hvad myndighederne skal have for øje ved indkøb og ibrugtagning af forskellige cloudløsninger.

Begrebet ”cloud” bruges overordnet om en ydelse, der leverer standardiserede it-ressourcer, typisk på større samlinger af servere, der tilgås via internettet. Der er tre modeller for cloud:

  • Infrastruktur som en service (IaaS) – kun adgang til infrastruktur
  • Platform som en service (PaaS) – adgang til en platform, men ikke applikationer
  • Software som en service (SaaS) – adgang til en færdigudviklet cloud-platform.

Cloudservices kan leveres som en privat cloud, en fælles cloud, en offentligt tilgængelig cloud eller en hybridcloud. Valg af servicemodel påvirker de databeskyttelsesretlige vurderinger, som offentlige myndigheder skal foretage ved brug af clouden. Vælges der en løsning, hvor mange af opgaverne overlades til cloudleverandøren (fx SaaS), har offentlige myndigheder en større opgave med at sikre, at leverandøren holder sig inden for databeskyttelsesreglerne, herunder bl.a. at leverandøren sikrer den fornødne behandlingssikkerhed.

Risikovurdering og kendskab til leverandøren

Helt grundlæggende er det vigtigt, at offentlige myndigheder har kendskab til den ønskede cloudservice samt den ønskede leverandør og dennes underleverandør. Det indebærer:

  • Kortlægning af, hvilke personoplysninger der behandles i skyen, til hvilke formål og hvordan de behandles
  • Hvem personoplysninger eventuelt videregives eller videreoverlades til og hvordan
  • Hvilke potentielle hændelser, der kan udgøre trusler mod databeskyttelsen.

Oplysningerne er alle nødvendige for at kunne gennemføre en risikovurdering og beslutte, hvilke sikkerhedstiltag der skal implementeres for at have et sikkert databeskyttelsesniveau. Først når risikovurderingen er gennemført, kan man vurdere, om den påtænkte cloudservice kan anvendes til behandlingsaktiviteten, uden at det medfører stor risiko for de registrerede.

Kendskab til leverandøren indebærer, at myndigheden skal have fuldt overblik over alle aktører i databehandlingskæden (bl.a. underdatabehandlere) – fra den leverandør, der har de fysiske servere stående, til den leverandør, der leverer support og udvikling. Det kendskab er særlig relevant ved brug af cloudydelser, hvor kæden ofte er kompleks på grund af de store cloud-leverandørers mange underleverandører og forgrening ud i mange lande uden for EU.

Tredjelandsoverførsler ved brug af cloudydelser

Når man gennemgår databehandlingskæden, er det for de fleste cloud-leverandører ikke usandsynligt, at personoplysningerne på et tidspunkt i kæden overføres til et (GDPR-mæssigt) usikkert tredjeland, fx USA. I de situationer skal kapitel 5 i databeskyttelsesforordningen (GDPR) efterleves, herunder særligt kravet om et gyldigt overførselsgrundlag og udarbejdelsen af en Transfer Impact Assessment (TIA) i overensstemmelse med det Europæiske Databeskyttelsesråds (EDPB) anbefaling af 18. juni 2021 om supplerende foranstaltninger.

Overførselsgrundlag

De største cloudleverandører anvender EU-Kommissionens standardkontraktbestemmelser (SCC’er) for overførsler til tredjelande. Leverandøren vil ofte selv have indgået standardkontrakten med underdatabehandlere i tredjelande. Den dataansvarlige er dog stadig ansvarlig for, at der faktisk er etableret et gyldigt overførselsgrundlag, og skal derfor påse, at de indgåede SCC’er kan dokumenteres.

TIA – vurdering af tredjelandets lovgivning og praksis

Den dataansvarlige skal også sikre sig, at lovgivning og/eller praksis i tredjelandet ikke påvirker effektiviteten af overførselsgrundlaget – såkaldt problematisk lovgivning/praksis. Lovgivning og/eller praksis er problematisk, når den fx giver hjemmel til at retshåndhævende myndigheder må indsamle eller tage sig adgang til de overførte oplysninger på en måde, der ikke opfylder væsentlige garantier, som er givet ved EU’s Charter, herunder fx databehandling i overensstemmelse med proportionalitetsprincippet og adgang til at håndhæve rettigheder ved domstolene. Hvis problematisk lovgivning identificeres, har den dataansvarlige tre muligheder: Suspendere overførslen, etablere effektive supplerende foranstaltninger, eller udarbejde en rapport, der viser og dokumenterer, at den problematiske lovgivning ikke vil finde anvendelse for de pågældende personoplysninger eller leverandøren i tredjelande.

Fordi det er så omfangsrigt at vurdere lovgivning og praksis i tredjelande, anfører Datatilsynet, at hvis mange tredjelande er involveret i kæden, kan den dataansvarlige basere sin vurdering af landene på et worst case scenario, hvor alle involverede tredjelande har problematisk lovgivning og praksis.

Supplerende foranstaltninger

De supplerende foranstaltninger kan være tekniske, organisatoriske og kontraktuelle. En teknisk foranstaltning er fx kryptering, hvor det skal sikres, at data krypteres “in transit, at rest and in motion”, da risikoen for, at myndighederne i tredjelandet tilgår oplysningerne, dermed reduceres væsentligt. Det afgørende er, at foranstaltningerne er effektive. Kryptering vil dog ikke udgøre en effektiv foranstaltning, hvis leverandøren foretager krypteringen og efterfølgende selv er i besiddelse af dekrypteringsnøglen, når den retshåndhævende myndighed i tredjelandet også kan stille krav om udlevering af dekrypteringsnøglerne.

Udarbejdelse af en rapport

Via objektiv, troværdig og tilgængelig information og oplysninger fra leverandøren skal en rapport kunne vise, at den problematiske lovgivning og/eller praksis ikke er relevant for den påtænkte overførsel, fx fordi lovgivning/praksis ikke finder anvendelse for de overførte oplysninger eller leverandøren i tredjelandet. Oplysninger fra leverandøren kan bl.a. være, at denne ikke tidligere har modtaget anmodninger fra tredjelandets retshåndhævende myndigheder, eller at anmodningerne under alle omstændigheder ikke har omfattet de typer af personoplysninger, der påtænkes overført af den offentlige myndighed. Der må dog ikke være såkaldte protective orders, der fratager leverandøren muligheden for at oplyse om, at den har modtaget anmodninger fra tredjelandets retshåndhævende myndigheder om udlevering af personoplysninger.

Overførsler til cloudleverandører i USA

EU-Domstolen udtalte i Schrems II-sagen (C-311/18), at USA havde problematisk lovgivning, der indebar, at en myndigheds overførsel af personoplysninger til USA skulle undergives supplerende foranstaltninger, før den var lovlig.

Ifølge EDPB er der ikke supplerende foranstaltninger, der er tilstrækkeligt effektive til at imødegå risikoen for, at myndighederne kan få adgang til oplysningerne, hvis oplysningerne overføres i klar tekst, det vil sige uden at være krypterede eller hashede. Offentlige myndigheder har derfor umiddelbart ikke mulighed for at overføre personoplysninger i klar tekst til USA, medmindre det på baggrund af objektiv, troværdig og tilgængelig information kan påvises, at den problematiske lovgivning ikke er relevant for den påtænkte overførsel. Det kan fx være tilfældet, hvis der kun overføres oplysninger, som skal være offentligt tilgængelige fx på internettet.

Overførsler til cloudleverandører ejet af moderselskaber i USA

En række cloudleverandører har EU-baserede hosting-centre og overfører som udgangspunkt ikke oplysninger til USA, selvom de har moderselskaber i USA. De hosting-faciliteter kan dog være underlagt CLOUD Act i USA, som kan pålægge cloudleverandøren at udlevere oplysninger til retshåndhævende myndigheder i USA via moderselskabet i USA – også selvom oplysningerne kun opbevares på datacentret i EU. Hvis leverandøren eller underdatabehandleren i de situationer udleverer oplysningerne og dermed handler i strid med databehandleraftalen, foreligger der en utilsigtet overførsel. Her vil det være den cloudleverandør, der udleverer oplysningerne, som er ansvarlig for overførslen til USA, og ikke den offentlige myndighed. Overførslen vil formentlig ikke være lovlig efter GDPR.

Den offentlige myndighed er ansvarlig for kun at anvende databehandlere, som kan stille tilstrækkelige garantier for, at GDPR overholdes, at risikovurderingen af databehandleren tager højde for den utilsigtede overførsel, at der iværksættes de fornødne sikkerhedsforanstaltninger, og at myndigheden griber ind, hvis den bliver gjort bekendt med en utilsigtet overførsel.

Der er derimod ikke tale om en utilsigtet overførsel, hvis det fremgår af databehandleraftalen, at cloudleverandøren har ret til at overføre personoplysninger til tredjelande med henblik på at efterleve anmodninger om udlevering fra tredjelandsmyndigheder. Det kan være pakket ind i formuleringer som “overholde juridiske forpligtelser” i databehandleraftalen, og det er i så fald også den offentlige myndighed, der har ansvaret for, at overførslen til tredjelandets myndigheder vil være lovlig. Ved sådanne tilsigtede overførsler skal der derfor også laves supplerende foranstaltninger som beskrevet ovenfor.

Forfattere

Birgitte Toxværd

Partner

Christoffer Alsted Skafte

Advokat